Helft van de overheidswebsites maakt geen gebruik van HTTPS

encryptie

Het aantal overheidswebsites dat gebruikt maakt van HTTPS is in het afgelopen kwartaal met 18% gestegen. Desondanks maakt de helft van alle overheidswebsites nog geen gebruik van HTTPS.

Dit blijkt uit cijfers van Open State Foundation’s Pulse, een dashboard die het mogelijk maakt te controleren of een overheidswebsite gebruik maakt van HTTPS en hoe sterk de implementatie hiervan is. HTTPS is een uitbreiding op het HTTP-protocol waarbij het dataverkeer tussen een webserver en de gebruiker wordt versleuteld. Indien dataverkeer wordt onderschept door een aanvaller, kan dit verkeer hierdoor niet worden ingezien. Daarnaast controleert HTTPS de identiteit van een webserver, om zeker te stellen dat content die wordt opgevraagd inderdaad afkomstig is van de juiste webserver. Dit voorkomt dat gebruikers worden omgeleid naar een malafide website. Tot slot controleert HTTPS de integriteit van aangeboden informatie, wat manipulatie van content voorkomt.

Onnodige risico’s op 52% van overheidssites

In totaal zijn 1.843 domeinen onderzocht. Hiervan ondersteunt 52% HTTPS. In december lag dit percentage nog op 44% van 1.816 onderzochte domeinen. Van de 961 overheidssites met een HTTPS-verbinding, zijn 90 domeinen niet goed geconfigureerd. Gebruikers lopen hierdoor bij 53% van alle overheidssites onnodig risico’s. Onder andere de websites van de gemeenten gemeenten Delft, Sluis, Oegstgeest, Purmerend, Rijswijk, Schouwen-Duiveland en Vlaardingen zijn voorzien van een HTTPS-verbinding die verkeerd is geconfigureerd. In december 2016 waren 108 van de 796 onderzochte overheidssites met HTTPS onjuist geconfigureerd.

Vooral waterschappen, provincies en gemeenten hebben vaker een HTTPS-verbinding omarmd. Het aantal HTTPS-verbindingen bij websites van waterschappen is gestegen van van 40,9% in december tot 76,1% in maart, bij provincies van 7 naar 10 provincies en bij gemeenten van 59% tot 72%. Het percentage websites van ministeries met een HTTPS-verbinding steeg van 54,9% tot 60,9%.

HSTS ontbreekt bij ambassades

Open State Foundation merkt op dat de websites van een aantal Nederlandse ambassades inmiddels is voorzien van HTTPS, maar het gebruik hiervan niet wordt afgedwongen. Dit komt doordat HTTP Strict Transport Security (HSTS) staat uitgeschakeld. HSTS is een beveiligingsmechanismen dat voorkomt dat een downgrade aanval kan worden uitgevoerd op een HTTPS-verbinding, waarbij het gebruik van een HTTP-verbinding door een aanvaller wordt afgedwongen.

“Het afdwingen van HTTPS is een belangrijke norm voor websites van overheden”, zegt Arjan El Fassed, directeur van Open State Foundation die digitale transparantie nastreeft. “Met Pulse laten we zien dat met een eenvoudige dashboard op basis van open data overheden aangespoord kunnen worden om internetveiligheid serieus te nemen.”

Belastingdienst

Daarnaast wijst de Open State Foundation erop dat de Belastingdienst inmiddels al zijn internetpagina’s heeft voorzien van HTTPS, inclusief alle pagina’s die onderdeel zijn van belastingdienst.nl, toeslagen.nl, douane.nl en fiod.nl. De website van de Belastingdienst/Caribisch Nederland is vooralsnog echter niet voorzien van HTTPS.

Lees ook
Bescherming bedrijfsprocessen met encryptie wordt noodzakelijk

Bescherming bedrijfsprocessen met encryptie wordt noodzakelijk

Het idee van een laptop die geconfigureerd is voor opslag van geheime informatie doet velen denken aan een apparaat voor spionnen. Maar de bescherming van gevoelige bedrijfs- en persoonlijke gegevens is nu belangrijker dan ooit.

Staatsgeheim - boek van Maarten Oberman

Staatsgeheim - boek van Maarten Oberman

Intro: Veertig jaar geleden kreeg ik van mijn vader de documentatie van het eerste naoorlogse crypto-apparaat. Hij had dat systeem in de jaren 1947 – 1949 gemaakt. De documentatie van dat systeem heb ik jarenlang bewaard, omdat hij had aangegeven dat het later erg interessant zou zijn. Het was indertijd Staatsgeheim en daardoor was er nooit over g1

Hoe de Trusted Platform Module (TPM) onveilige wachtwoorden vervangt - Beyond Identity

Hoe de Trusted Platform Module (TPM) onveilige wachtwoorden vervangt - Beyond Identity

Als je een Windows-of Linux-pc gebruikt, is de kans groot dat er een Trusted Platform Module (TPM) aan het moederbord van je systeem is verbonden. De TPM is een hardwaremodule die in veel lijkt op de SmartCard-chip die in je creditcard is ingebed. Die chip zorgt voor veilige authenticatie van je kaart tijdens betalingstransacties. Dat gebeurt op b1